Troubleshooting
Problem
QRadar® コンソールで、ユーザーは、"The matcher for the following Regex has been disabled due to excessive backtracking," という通知を受け取ります。これには、正規表現文字の短いストリングが含まれます。
例:
次の正規表現の比較機能は、過剰なバックトラッキングが原因で無効になっています: 'Domain=(.*?)\\t'
Cause
QRadar 環境で使用可能になっているログ・ソース拡張( LSX )によって提供されるプロパティーが、構文解析に時間がかかりすぎているため、システムのパフォーマンスを維持するために無効にされています。
これは通常、LSX によって提供されるプロパティーの解析に 2000 ミリ秒以上かかる場合に発生します。 これが 5 回発生すると、ユーザーがアクションを実行するまで、プロパティーは永続的に無効になります。
Resolving The Problem
通知を受信した場合、プロパティーは、次のいずれかのアクションが実行され有効になるまで無効のままになります。 プロパティーが最適化されていない場合、システムで同じ問題が発生し、LSX が再度無効になる可能性があります。
- パターンを最適化し、変更内容を保存します。この変更により、 LSX がリロードされ、プロパティーが再び有効になります。
- ログ・ソースを無効にしてから再度有効にします。これにより、LSX もリロードされます。 これは、ログ・ソース管理アプリのログ・ソースの横にある「有効」ボタンのチェックを外して確認することで実行できます。
- サービスが再開されます。 サービスを再開する方法については、次のリンクをクリックしてください
: QRadar: Hostcontext service and the impact of a service restart
ログ・ソース拡張自体の詳細については次を参照してください。: Log source extensions
Related Information
Document Location
Worldwide
[{"Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtiAAA","label":"Performance"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"All Version(s)"}]
Was this topic helpful?
Document Information
Modified date:
14 August 2021
UID
ibm16438309